Von Ron Teixeira
In den letzten zwei Jahren kam es zu einer Reihe von Fällen von Datenschutzverletzungen, an denen Großunternehmen beteiligt waren. Während dies den Eindruck erwecken könnte, dass nur große Unternehmen von Hackern und Dieben angegriffen werden, ist es in der Realität so, dass Hacker zunehmend auf kleine Unternehmen abzielen, da sie in der Regel nicht über die Ressourcen oder das Know-how verfügen, das große Unternehmen haben.
Das bedeutet jedoch nicht, dass kleine Unternehmen eine große Summe Geld und Ressourcen aufwenden müssen, um sich vor den neuesten Bedrohungen zu schützen. Laut einem kürzlich veröffentlichten Symantec Threat Report hätten 82% der verloren gegangenen oder gestohlenen Daten vermieden werden können, wenn das Unternehmen einen einfachen Cyber-Sicherheitsplan befolgte.
Um mit der Entwicklung eines Cyber-Sicherheitsplans beginnen zu können, müssen Sie die Bedrohungen aus dem Internet kennen und wissen, wie der Schutz Ihres Unternehmens vor diesen Bedrohungen sich direkt auf Ihr Endergebnis auswirkt. In der Folge entwickelte sich die National Cyber Security Alliance, zu deren Partnern das Department of Homeland Security, das US-amerikanische Bureau of Investigations, die Small Business Administration, das Nationale Institut für Standards und Technologie, Symantec, Microsoft, CA, McAfee, AOL und RSA gehören, zu den Besten 5 Bedrohungen, mit denen Ihr kleines Unternehmen im Internet konfrontiert ist, Geschäftsfälle, wie Sie durch diese Bedrohungen verletzt werden können, und praktische Maßnahmen, die Sie ergreifen können, um diese Bedrohungen zu vermeiden.
Hier ist eine Zusammenfassung der fünf wichtigsten Bedrohungen:
- # 1: Bösartiger Code. Eine Software-Bombe im Nordosten des Herstellers hat alle Firmenprogramme und Codegeneratoren zerstört. In der Folge verlor das Unternehmen Millionen von Dollar, wurde von seiner Position in der Industrie verdrängt und musste schließlich 80 Arbeiter entlassen. Installieren Sie Antivirenprogramme, Anti-Spyware-Programme und Firewalls auf allen Computern in Ihrem Unternehmen, um sicherzustellen, dass Ihnen dies nicht passiert. Stellen Sie außerdem sicher, dass die gesamte Computersoftware auf dem neuesten Stand ist und die neuesten Patches enthält (d. H. Betriebssystem, Antivirus-, Anti-Spyware-, Anti-Adware-, Firewall- und Office-Automatisierungssoftware).
- # 2: Gestohlener / verlorener Laptop oder mobiles Gerät. Im vergangenen Jahr wurde der Laptop eines Angestellten der Abteilung Veteranenangelegenheiten aus seinem Haus gestohlen. Der Laptop enthielt 26,5 Millionen Veteranen ärztliche Vorgeschichte. Am Ende wurde der Laptop wiederhergestellt und die Daten wurden nicht verwendet. Die VA musste jedoch 26,5 Millionen Veteranen über den Vorfall informieren, was zu Anhörungen des Kongresses und einer öffentlichen Kontrolle führte. Um sicherzustellen, dass Ihnen dies nicht passiert, schützen Sie die Daten Ihrer Kunden, wenn Sie sie auf einem tragbaren Gerät an einem beliebigen Ort transportieren, indem Sie alle darin enthaltenen Daten verschlüsseln. Verschlüsselungsprogramme verschlüsseln Daten oder machen sie für Außenstehende unlesbar, bis Sie ein Kennwort oder einen Verschlüsselungsschlüssel eingeben.
- # 3: Spear Phishing. Ein mittelständischer Fahrradhersteller verließ sich bei der Geschäftstätigkeit stark auf E-Mail. Im Normalfall eines Geschäftstages erhielt das Unternehmen bis zu 50.000 Spam- und Phishing-E-Mails. In einem Fall erhielt ein Mitarbeiter eine „Spear-Phishing-E-Mail“, die so aussah, als ob sie von der IT-Abteilung stammte, und bat den Mitarbeiter, das „Administratorkennwort“ zu bestätigen. Glücklicherweise für das Unternehmen, als der Mitarbeiter den Vorgesetzten fragte, Administrator-Passwort “, untersuchte er weiter und stellte fest, dass die E-Mail ein Betrug war. Um sicherzustellen, dass Ihnen dies nicht passiert, weisen Sie alle Mitarbeiter an, sich an ihren Vorgesetzten zu wenden, oder nehmen Sie einfach den Hörer ab und kontaktieren Sie die Person, die die E-Mail direkt gesendet hat. Es ist wichtig, dass Sie Ihre Mitarbeiter auf den Spear-Phishing-Angriff aufmerksam machen und nach etwas Ausschau halten, das verdächtig aussieht.
- # 4: Ungesicherte drahtlose Internet-Netzwerke. Nachrichtenmeldungen zufolge haben Hacker die "größte Datenschutzverletzung aller Zeiten" über ein drahtloses Netzwerk durchgeführt. In einer globalen Einzelhandelskette wurden über 47 Millionen Kunden finanzielle Informationen von Hackern gestohlen, die ein drahtloses Netzwerk durchbrachen, das durch die niedrigste Form der Verschlüsselung, die das Unternehmen zur Verfügung stellt, gesichert wurde. Gegenwärtig hat dieser Sicherheitsverstoß 17 Millionen US-Dollar gekostet, insbesondere 12 Millionen US-Dollar in einem Quartal oder 3 Cent pro Aktie. Stellen Sie sicher, dass das Standardkennwort geändert wird, und stellen Sie sicher, dass Sie das WLAN mit WPA (Wi-Fi Protected Access) verschlüsseln.
- # 5: Insider / Unzufriedenheit der Mitarbeiter. Ein ehemaliger Mitarbeiter eines Unternehmens, das den Flugbetrieb großer Automobilunternehmen abwickelt, löschte zwei Wochen nach seinem Rücktritt seine kritischen Beschäftigungsdaten. Der Vorfall verursachte Schäden in Höhe von rund 34.000 US-Dollar. Um sicherzustellen, dass Ihnen dies nicht passiert, teilen Sie kritische Funktionen und Verantwortlichkeiten unter den Mitarbeitern der Organisation auf und beschränken Sie die Möglichkeit, dass eine Person Sabotage oder Betrug ohne die Hilfe anderer Mitarbeiter der Organisation begehen kann.
Lesen Sie weiter unten, um weitere Informationen und ausführliche Informationen zum Schutz Ihrer Computersysteme zu erhalten.
1. Bösartiger Code (Spyware / Viren / Trojanisches Pferd / Würmer)
Laut einer Computer-Crime-Studie des FBI aus dem Jahr 2006 umfassten bösartige Software-Programme die größte Anzahl von gemeldeten Cyber-Angriffen, was zu einem durchschnittlichen Verlust von 69.125 USD pro Vorfall führte. Schädliche Software sind Computerprogramme, die auf dem Computer Ihres Unternehmens heimlich installiert sind. Sie können ein Computernetzwerk intern beschädigen, beispielsweise das Löschen kritischer Dateien, oder zum Stehlen von Kennwörtern oder zum Entsperren von Sicherheitssoftware, sodass Hacker Kunden- oder Mitarbeiterinformationen stehlen können. Die meisten dieser Programme werden von Kriminellen für finanziellen Gewinn entweder durch Erpressung oder Diebstahl eingesetzt.
Fallstudie:
Ein Hersteller aus dem Nordosten gewann Aufträge im Wert von mehreren Millionen Dollar, um Mess- und Instrumentierungsgeräte für die NASA und die US-Marine herzustellen. Eines Morgens konnten sich die Mitarbeiter jedoch nicht beim Betriebssystem anmelden. Stattdessen erhielt sie die Meldung, dass das System "in Reparatur" sei. Kurz darauf stürzte der Server des Unternehmens ab, wodurch alle Werkzeug- und Fertigungsprogramme der Anlage gestrichen wurden. Als der Manager die Kassetten wieder aufnahm, stellte er fest, dass sie verschwunden waren und die einzelnen Workstations ebenfalls gelöscht wurden. Der CFO des Unternehmens bezeugte, dass die Software-Bombe alle Programme und Codegeneratoren zerstört habe, die es dem Unternehmen ermöglichten, seine Produkte anzupassen und somit die Kosten zu senken. Das Unternehmen verlor in der Folge Millionen von Dollar, wurde von seiner Position in der Industrie verdrängt und musste schließlich 80 Arbeiter entlassen. Das Unternehmen kann etwas Trost in der Tatsache finden, dass der Schuldige schließlich festgenommen und verurteilt wurde.
Rat:
- Installieren und verwenden Sie Antivirenprogramme, Anti-Spyware-Programme und Firewalls auf allen Computern in Ihrem Unternehmen.
- Stellen Sie sicher, dass Ihre Computer durch eine Firewall geschützt sind. Firewalls können separate Appliances sein, die in drahtlose Systeme integriert sind, oder eine Software-Firewall, die in vielen kommerziellen Sicherheits-Suites enthalten ist.
- Stellen Sie außerdem sicher, dass die gesamte Computersoftware auf dem neuesten Stand ist und die neuesten Patches enthält (d. H. Betriebssystem, Antivirus-, Anti-Spyware-, Anti-Adware-, Firewall- und Office-Automatisierungssoftware).
2. Gestohlener / verlorener Laptop oder mobiles Gerät
Ob Sie es glauben oder nicht, gestohlene oder verlorene Laptops sind eine der häufigsten Arten, wie Unternehmen wichtige Daten verlieren. Laut einer FBI Crime Study aus dem Jahr 2006 (PDF) führte ein gestohlener oder verlorener Laptop normalerweise zu einem durchschnittlichen Verlust von 30.570 USD.Ein hochkarätiger Vorfall oder ein Vorfall, bei dem ein Unternehmen alle seine Kunden kontaktieren muss, weil seine finanziellen oder persönlichen Daten möglicherweise verloren gegangen sind oder gestohlen wurden, kann aufgrund des Vertrauensverlusts der Verbraucher, des Rufs und sogar des Rufs viel höhere Verluste zur Folge haben gesetzliche haftung.
Fallstudie:
Letztes Jahr brachte ein Mitarbeiter der Abteilung für Veteranenangelegenheiten einen Laptop mit nach Hause, in dem sich 26,5 Millionen Veteranen befunden hatten. Während der Mitarbeiter nicht zu Hause war, brach ein Eindringling ein und stahl den Laptop mit den Daten der Veteranen. Am Ende wurde der Laptop wiederhergestellt und die Daten wurden nicht verwendet. Die VA musste jedoch 26,5 Millionen Veteranen über den Vorfall informieren, was zu Anhörungen des Kongresses und einer öffentlichen Kontrolle führte. Dieses Phänomen ist nicht auf die Regierung beschränkt. 2006 gab es eine Reihe von Unternehmensfällen, bei denen es um verlorene oder gestohlene Laptops ging, die zu Datenverletzungen führten. Ein Laptop mit 250.000 amerikanischen Kunden wurde aus einem Auto gestohlen. In Providential Health Care Hospital System wurde ein Laptop gestohlen, der Tausende von Patientenakten enthielt.
Rat:
- Schützen Sie die Daten Ihrer Kunden, wenn Sie sie überall auf einem tragbaren Gerät transportieren, indem Sie alle darin enthaltenen Daten verschlüsseln. Verschlüsselungsprogramme verschlüsseln Daten oder machen sie für Außenstehende unlesbar, bis Sie ein Kennwort oder einen Verschlüsselungsschlüssel eingeben. Wenn ein Laptop mit vertraulichen Daten gestohlen wird oder verloren geht, die Daten jedoch verschlüsselt werden, ist es höchst unwahrscheinlich, dass jemand die Daten lesen kann. Die Verschlüsselung ist Ihre letzte Verteidigungslinie, wenn Daten verloren gehen oder gestohlen werden. Einige Verschlüsselungsprogramme sind in gängige Finanz- und Datenbanksoftware integriert. Überprüfen Sie einfach die Bedienungsanleitung Ihres Software-Besitzers, um herauszufinden, ob diese Funktion verfügbar ist und wie sie aktiviert werden kann. In einigen Fällen benötigen Sie möglicherweise ein zusätzliches Programm, um Ihre vertraulichen Daten ordnungsgemäß zu verschlüsseln.
3. Spear Phishing
Spear-Phishing bezeichnet jeden gezielten Phishing-Angriff. Spear-Phisher senden E-Mails, die allen Mitarbeitern oder Mitgliedern eines bestimmten Unternehmens, einer Regierungsbehörde, einer Organisation oder einer Gruppe echt erscheinen. Die Nachricht könnte so aussehen, als ob sie von einem Arbeitgeber oder von einem Kollegen stammt, der eine E-Mail-Nachricht an alle Mitarbeiter des Unternehmens sendet, z. B. den Leiter der Personalabteilung oder die Person, die die Computersysteme verwaltet, und möglicherweise Anfragen dazu enthält Benutzernamen oder Passwörter.
Die Wahrheit ist, dass die E-Mail-Absenderinformationen gefälscht oder „gefälscht“ wurden. Während herkömmliche Phishing-Betrügereien dazu dienen, Informationen von Einzelpersonen zu stehlen, müssen Spear-Phishing-Betrügereien auf das gesamte Computersystem eines Unternehmens zugreifen.
Wenn ein Mitarbeiter mit einem Benutzernamen oder Kennwort antwortet oder wenn Sie in einer Spear-Phishing-E-Mail, in einem Popup-Fenster oder auf einer Website auf Links klicken oder Anhänge öffnen, kann dies Ihr Unternehmen oder Ihre Organisation gefährden.
Fallstudie:
Ein mittelgroßer Fahrradhersteller, der Fahrräder herstellte, die in bekannten Rennen eingesetzt wurden, stützte sich bei der Geschäftstätigkeit stark auf E-Mails. Im Normalfall eines Geschäftstages erhielt das Unternehmen bis zu 50.000 Spam- und Phishing-E-Mails. Daher installierte das Unternehmen zahlreiche Spamfilter, um die Mitarbeiter vor betrügerischen E-Mails zu schützen. Dennoch werden viele betrügerische E-Mails an die Mitarbeiter weitergeleitet. In einem Fall erhielt ein Mitarbeiter eine „Spear-Phishing-E-Mail“, die so aussah, als ob sie von der IT-Abteilung stammte, und bat den Mitarbeiter, das „Administratorkennwort“ zu bestätigen. Glücklicherweise für das Unternehmen, als der Mitarbeiter den Vorgesetzten fragte, Administrator-Passwort “, untersuchte er weiter und stellte fest, dass die E-Mail ein Betrug war. Obwohl dieses Beispiel nicht zu einem finanziellen Verlust geführt hat, könnte dies leicht eintreten und ist ein allgemeines Problem für alle Unternehmen.
Rat:
- Mitarbeiter sollten niemals auf Spam- oder Popup-Nachrichten antworten, von denen behauptet wird, dass sie von einem Unternehmen oder einer Organisation stammen, mit dem Sie beispielsweise zusammenarbeiten, beispielsweise mit einem Internetdienstanbieter (ISP), einer Bank, einem Online-Zahlungsdienst oder sogar einer Regierungsbehörde. Legitime Unternehmen fragen nicht nach sensiblen Informationen per E-Mail oder Link.
- Wenn ein Mitarbeiter eine E-Mail erhält, die aussieht, als wäre sie von einem anderen Angestellten, und Sie nach einem Kennwort oder nach Kontodaten fragen, sollte er nicht darauf antworten oder vertrauliche Informationen per E-Mail übermitteln. Weisen Sie den Mitarbeiter stattdessen an, sich an seinen Vorgesetzten zu wenden, oder nehmen Sie einfach den Hörer ab und kontaktieren Sie die Person, die die E-Mail direkt gesendet hat.
- Es ist wichtig, dass Sie Ihre Mitarbeiter auf den Spear-Phishing-Angriff aufmerksam machen und nach etwas Ausschau halten, das verdächtig aussieht. Um zu vermeiden, Opfer eines Spear-Phishing-Angriffs zu werden, sollten Sie alle wissen lassen, dass etwas passiert, bevor jemand persönliche Informationen verliert.
4. Ungesicherte drahtlose Internet-Netzwerke
Verbraucher und Unternehmen implementieren und implementieren schnell drahtlose Internet-Netzwerke. Laut einer InfoTech-Studie wird die Durchdringung von drahtlosen Internet-Netzwerken bis 2008 80% erreichen. Während drahtlose Internet-Netzwerke Unternehmen die Möglichkeit bieten, ihre Netzwerke zu rationalisieren und ein Netzwerk mit sehr geringer Infrastruktur oder Kabeln aufzubauen, bestehen Sicherheitsrisiken, denen sich die Unternehmen stellen müssen mit drahtlosen Internet-Netzwerken. Hacker und Betrüger können über ein offenes, drahtloses Internet-Netzwerk Zugang zu den Computern von Unternehmen erhalten. Dies kann dazu führen, dass Kundeninformationen und sogar proprietäre Informationen gestohlen werden. Leider ergreifen viele Unternehmen nicht die erforderlichen Maßnahmen, um ihre drahtlosen Netzwerke abzusichern. Laut einer Studie des Symantec / Small Business Technology Institute aus dem Jahr 2005 verfügen 60% der kleinen Unternehmen über offene drahtlose Netzwerke. Darüber hinaus verwenden viele andere kleine Unternehmen möglicherweise keine ausreichend starke drahtlose Sicherheit, um ihre Systeme zu schützen. Ein drahtloses Netzwerk nicht richtig abzusichern, bedeutet, die Tür eines Unternehmens nachts weit geöffnet zu lassen.
Fallstudie:
Nachrichtenmeldungen zufolge haben Hacker die "größte Datenschutzverletzung aller Zeiten" über ein drahtloses Netzwerk durchgeführt. In einer globalen Einzelhandelskette wurden über 47 Millionen Kunden finanzielle Informationen von Hackern gestohlen, die ein drahtloses Netzwerk durchbrachen, das durch die niedrigste Form der Verschlüsselung, die das Unternehmen zur Verfügung stellt, gesichert wurde. Im Jahr 2005 hatten zwei Hacker angeblich vor einem Geschäft geparkt und mit einer drahtlosen Teleskopantenne Daten zwischen handelsüblichen Zahlungsscannern entschlüsselt. So konnten sie in die Datenbank der Muttergesellschaft einsteigen und mit Kredit- und Debitkartendaten von fast 47 Millionen Kunden aufwarten. Es wird angenommen, dass die Hacker über zwei Jahre lang Zugriff auf die Kreditkartendatenbank hatten, ohne entdeckt zu werden. Anstatt die aktuellste Verschlüsselungssoftware zur Sicherung des WLANs zu verwenden - Wi-Fi Protected Access (WPA) -, verwendete die Handelskette eine alte Verschlüsselungsform namens Wireless Equivalent Privacy (WEP), die nach Ansicht einiger Experten leicht zu bedienen ist in nur 60 Sekunden gehackt. Gegenwärtig hat dieser Sicherheitsverstoß 17 Millionen US-Dollar gekostet, insbesondere 12 Millionen US-Dollar in einem Quartal oder 3 Cent pro Aktie.
Rat:
- Stellen Sie beim Einrichten eines drahtlosen Netzwerks sicher, dass das Standardkennwort geändert wurde. Die meisten Netzwerkgeräte, einschließlich drahtloser Zugangspunkte, sind mit Standard-Administratorkennwörtern vorkonfiguriert, um die Einrichtung zu vereinfachen. Diese Standardkennwörter sind leicht online zu finden und bieten daher keinen Schutz. Das Ändern von Standardkennwörtern erschwert es Angreifern, die Kontrolle über das Gerät zu übernehmen.
- Stellen Sie außerdem sicher, dass Sie Ihr WLAN mit WPA-Verschlüsselung verschlüsseln. WEP (Wired Equivalent Privacy) und WPA (Wi-Fi Protected Access) verschlüsseln Informationen auf drahtlosen Geräten. Bei WEP gibt es jedoch eine Reihe von Sicherheitsproblemen, durch die es weniger effektiv ist als WPA. Sie sollten daher speziell nach Ausrüstung suchen, die die Verschlüsselung über WPA unterstützt. Das Verschlüsseln der Daten würde verhindern, dass Personen, die möglicherweise Ihren drahtlosen Netzwerkverkehr überwachen, Ihre Daten anzeigen können.
5. Bedrohung durch Insider / Unzufriedenheit
Ein verärgerter Mitarbeiter oder Insider kann gefährlicher sein als der raffinierteste Hacker im Internet. Abhängig von den Sicherheitsrichtlinien und der Kennwortverwaltung Ihres Unternehmens haben Insider möglicherweise direkten Zugriff auf Ihre kritischen Daten und können sie daher leicht stehlen und an Ihren Konkurrenten verkaufen oder sogar ganz löschen, was zu irreparablen Schäden führen kann. Es gibt Schritte und Maßnahmen, die Sie ergreifen können, um zu verhindern, dass Insider oder verärgerte Mitarbeiter Zugang zu wichtigen Informationen erhalten und Ihre Computernetzwerke beschädigen.
Fallstudie:
Ein ehemaliger Mitarbeiter eines Unternehmens, das den Flugbetrieb großer Automobilunternehmen abwickelt, löschte zwei Wochen nach seinem Rücktritt seine kritischen Beschäftigungsdaten. Der Vorfall verursachte Schäden in Höhe von rund 34.000 US-Dollar. Berichten zufolge war der Mitarbeiter verärgert darüber, dass er früher als erwartet vom Unternehmen freigelassen wurde. Angeblich war die Firewall des Unternehmens gefährdet, und der Täter brach in die Mitarbeiterdatenbank ein und löschte alle Datensätze. Aussagen des Unternehmens weisen darauf hin, dass der verärgerte ehemalige Mitarbeiter einer von nur drei Personen war, der die Anmelde- und Kennwortinformationen für die Firewall kannte, die die Mitarbeiterdatenbank geschützt hat.
Rat:
Es gibt verschiedene Möglichkeiten, wie sich Ihr Unternehmen vor Bedrohungen durch Insider oder verärgerte Mitarbeiter schützen kann:
- Teilen Sie kritische Funktionen und Verantwortlichkeiten unter den Mitarbeitern der Organisation auf, und beschränken Sie die Möglichkeit, dass eine Person Sabotage oder Betrug ohne die Hilfe anderer Mitarbeiter der Organisation begehen kann.
- Implementieren Sie strikte Kennwort- und Authentifizierungsrichtlinien. Stellen Sie sicher, dass jeder Mitarbeiter Passwörter mit Buchstaben und Zahlen verwendet, und verwenden Sie keine Namen oder Wörter.
- Darüber hinaus sollten Sie die Kennwörter alle 90 Tage ändern und vor allem das Konto eines Mitarbeiters löschen oder die Kennwörter für kritische Systeme ändern, nachdem ein Mitarbeiter Ihr Unternehmen verlassen hat. Dies macht es für verärgerte Mitarbeiter schwieriger, Ihre Systeme nach dem Verlassen zu beschädigen.
- Führen Sie Due Diligence durch, BEVOR Sie jemanden einstellen. Führen Sie Hintergrundüberprüfungen, Schulungsüberprüfungen usw. durch, um sicherzustellen, dass Sie gute Leute einstellen.
Über den Autor: Als Exekutivdirektor der National Cyber Security Alliance (NCSA) ist Ron Teixeira für die Gesamtverwaltung von Cyber Security-Sensibilisierungsprogrammen und nationalen Bildungsmaßnahmen verantwortlich. Teixeira arbeitet eng mit verschiedenen Regierungsbehörden, Unternehmen und gemeinnützigen Organisationen zusammen, um das Bewusstsein für Sicherheitsfragen im Internet zu schärfen und Heimbenutzern, kleinen Unternehmen und der Bildungsbranche mit Werkzeugen und bewährten Verfahren zu helfen, die ein sicheres und sinnvolles Interneterlebnis gewährleisten.
9 Kommentare ▼
